德国安全研究公司ERNW近日披露了一项安全漏洞,该漏洞存在于微软的Windows Hello for Business中,允许攻击者通过面部识别登录其他用户的账户。
根据ERNW的研究报告,这一漏洞被称为“面部交换攻击”(The Face Swap),该攻击利用了Windows Hello处理生物识别数据的方式。
Windows Hello并不直接使用用户的生物识别数据进行身份验证,而是用其解锁系统中存储的加密密钥。
ERNW的研究人员发现,具有管理员权限的攻击者可以访问并操纵将用户身份与存储的生物识别模板相关联的数据库。
在实际的攻击测试中,研究人员成功地交换了两名注册用户之间的标识符。
这种交换完全欺骗了系统,攻击者可以在计算机摄像头前使用自己的面部,让Windows Hello授予他们访问受害者账户的权限,包括所有企业网络资源、文件和数据。
简单来说,在任何支持Windows Hello的Windows计算机上,如果有多用户配置文件,这一安全漏洞允许拥有管理员账户的任何人窃取系统中其他用户的身份。
ERNW表示,他们已经将这一发现告知了微软,但怀疑微软不太可能进行根本性的修复,因为这需要对系统的架构进行彻底的重新设计。
